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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen ontnommen 

@ Steuergerat zur Steuerung sicherheitskritischer Anwendungen 

@ Die Erfindung betrifft ein Steuergerat (1 ) zur Steuerung 
sicherheitskritischer Anwendungen (5) mit einem Mikro- 
computer (MC), einer Uberwachungseinheit (CU, Check 
Unit) und Peripherieschaltungen (IO, Input/Output). Um 
bei derartigen Steuergeraten die Zuverlassigkeit der Feh- 
lerdetektion weiter zu verbessern und die Detektion auf 
zusatzliche Fehlerarten auszuweiten, wird g email der Er- 
findung ein Steuergerat (1 ) der genannten Art vorgesch la- 
gen, wobei die Uberwachungseinheit (CU) erste Mittel zur 
Messung des Ruhestroms des Mikrocomputers (MC) auf- 
weist, zwischen den ersten Mitteln der CU und dem MC 
mindestens eine Ruhestrom-Handshake-Leitung (IDDQ- 
HDSHK) zur Steuerung der Messung des Ruhestroms ver- 
lauft, und dass die CU zweite Mittel zur Beaufschtagung 
des MC mit einem Testdateneingangssignal, zur Verarbei- 
tung des Testdateneingangssignals und zum Vergleich 
des entsprechenden Testdatenausgangssignals des MC 
mit dem entsprechenden Testdatenausgangssignal der 
J CU aufweist und zwischen den zweiten Mitteln der CU 
und dem MC mindestens eine Testdatensignal-Ubertra- 
gungsleitung verlauft. 
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Beschreibung 

Die vorliegende Erfindung belrifft ein Steuergerat zur 
Steuerung sicherheitskritischer Anwendungen mit einem 
Mikrocomputer (MC), einer tiberwachungseinheit (Check 5 
Unit, CU) und Peripherieschaltungen (Input Output, 10). 
Die Erfindung belrifft auBerdem ein Verfahren zum t)ber- 
priifen eines Mikrocomputers (MC) eines Steuergerats zur 
Steuerung sicherheitskritischer Anwendungen, das den Mi- 
krocomputer (MC), eine ttberwachungseinheit (Check Unit, 10 
CU) und Peripherieschaltungen (Input Output, 10) aufweist. 

Stand der Technik 

In Steuergeraten, die sicherheitskritische Anwendungen 15 
oder Funktionen steuern bzw. regeln, miissen Fehler des Mi- 
krocomputers (MC) bzw. eines Prozessors des Mikrocom- 
puters durch Uberwachung erkannt werden. Solche Steuer- 
gerate mit Sicherheitsaufgaben werden bspw. fur Antiblok- 
kiersysteme, fiir Antriebsschlupfregelsysteme und/oder fur 20 
Fahrdynamikregelsysteme eingeselzt. Die sicherheitskriti- 
schen Anwendungen, die von dem Steuergerat gesteuert 
werden, sind uber die Peripherieschaltungen mit dem Steu- 
ergerat verbunden. Bei Einrechner-Steuergeraten sind Ver- 
fahren mit einem Selbsttest, Plausibilitatsiiberwachung und 25 
Watch-Dog bekannl. 

Zur Prufung von CMOS-Bausteinen (integrierte Schalt- 
kreise, IC) beim Hersteller werden Verfahren und MeBge- 
rate zur Messung des Ruhestromes eingesetzt. Der Hinter- 
grund des sog. Ruhestromtestes besteht darin, daB in einem 30 
digitalen CMOS-Baustein in rein statischer Logik fast die 
gesamte Verlustleistung wahrend der Schaltvorgange in sei- 
nem Inneren entsteht. Im Ruhezustand beschrankt sich der 
StromfluB auf winzige Leckstrome, sowie Strome durch 
Pullup- oder Pulldown- Widerslande an den Eingangen und 35 
externe Lasten an den Ausgangs-Treibem. Viele herstel- 
lungsbedingte Fehler fuhren zu einer verstarkten Leitfahig- 
keit zwischen der positiven und negativen Versorgungsspan- 
nung. Werden solche defekten Bereiche (Punktdefekte) der 
Schaltung aktiviert, fuhrt dies zu einem sprunghaflen An- 40 
stieg der Stromaufnahme. Durch eine hochgenaue Messung 
der Stromaufnahme wahrend des Testvorgangs und einem 
Vergleich mit entsprechenden Sollwerten konnen solche 
Fehler festgestellt werden. Wie schon erwahnt, macht man 
sich eine solche Ruhestrommessung bei der Produktion von 45 
CMOS-Bausteinen zunutze, um nach dem Herstellungspro- 
zeB die fehlerhaflen Bausteine auszusortieren. 

Aus dem Stand der Technik ist es bekannt, das bei der 
Produktion von Rechnerbausteinen bekannte Ruhestrom- 
Testverfahren auch bei Steuergeraten der eingangs genann- 50 
ten Art zur Obcrprufung der Rechnerbausteine wahrend ih- 
res Normalbetriebs einzusetzen, um die haufigsten Fehler in 
den Rechnerbausteinen, insbesondere in dem Mikrocompu- 
ter (MC), bspw. Haftfehler (Stuck-at), Bruckenfehler (Brid- 
ging) und/oder Unterbrechungsfehler (Stuck-Open), detek- 55 
tieren zu konnen. 

Aus dem Stand der Technik ist es weiterhin bekannt, bei 
Steuergeraten der eingangs genannten Art zur Erhohung der 
Fehlersicherheit zwei MC vorzusehen, die sich durch Paral- 
lelrechnung und/oder Plausibilitatspriifungen gegenseitig 60 
ubcrprufcn. Insbesondere Kostcnbelrachtungen fuhren jc- 
doch zu der Uberiegung, bei solchen Steuergeraten lediglich 
einen einzigen MC zu verwenden. 

Die Aufgabe der vorliegenden Erfindung besteht darin, 
ein Steuergerat der eingangs genannten Art dahingehend 65 
auszugestalten und weiterzubiiden, daB die Zuverlassigkeit 
der Fehlerdetektion weiter verbessert und die Detektion auf 
zusatzliche Fehlerarten ausgeweitet wird. 
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Zur Losung dieser Aufgabe schlagt die Erfindung ausge- 
hend von einem Steuergerat der eingangs genannten Art vor, 
daB die Uberwachungseinheit (CU) erste Mittel zur Mes- 
sung des Ruhestroms des Mikrocomputers (MC) aufweist 
und zwischen den ersten Mitteln der CU und dem MC min- 
destens eine Handshake-Lei tung zur Steuerung der Messung 
des Ruhestroms verlauft, und daB die CU zweite Mittel zur 
Beaufschlagung des MC mit einem Testdateneingangssi- 
gnal, zur Verarbeitung des Testdateneingangssignals und 
zum Vergleich des entsprechenden Testdatenausgangssi- 
gnals des MC mit dem entsprechenden Testdatenausgangs- 
signal der CU aufweist und zwischen den zweiten Mitteln 
der CU und dem MC mindestens eine Testdatensignal-Uber- 
tragungsleitung verlauft. 

ErfindungsgemaB ist erkannt worden, daB die Zuverlas- 
sigkeit der Fehlerdetektion erhoht werden kann, indem zwei 
unterschiedliche, sich gegenseitig erganzende Testverfahren 
eingesetzt werden. Auf diese Weise kann auch eine wesent- 
lich groBere Anzahl von unterschiedlichen Fehlerarten der 
Rechenbausteine des MC detektiert werden. 

Das erfindungsgemaBe Steuergerat kann auch mehrere 
MCs und mehrere CUs aufweisen. Nachfolgend wird jedoch 
davon ausgegangen, daB das Steuergerat einen MC und eine 
CU aufweist. Die CU des erfindungsgemaBen Steuergerats 
weist erste Mittel zur Messung des Ruhestroms des MC auf. 

Zwischen den ersten Mitteln der CU und dem MC ver- 
lauft mindestens eine Handshake-Leitung zur Steuerung der 
Messung des Ruhestroms. Die Handshake-Leitung kann 
bspw. als eine bidirektionale Leitung ausgebildet sein. 

Die Ruhestrommessung wind nach dem Einschalten des 
Steuergerats fur eine feste Anzahl (typischerweise 8 bis 16) 
von ausgewahlten Befehlen im Rahmen eines Testpro- 
gramms durchgefuhrt. Fiir den Mikrocomputer TMS470 
werden beispielsweise 14 ausgewahlte Befehle abgearbeitet, 
die einen internen Maschinenzyklus enthalten. 

Zur Erganzung der Ruhestrommessung weist die CU des 
erfindungsgemaBen Steuergerats zweite Mittel auf. Zwi- 
schen den zweiten Mitteln der CU und dem MC verlauft 
mindestens eine Testdatensignal-Ubertragungsleitung. 

Die zweiten Mittel beaufschlagen den MC mil einem 
Testdateneingangssignal. Der MC berechnet ein Testdaten- 
ausgangssignal, das von dem Testdateneingangssignal und 
den Zustanden im Inneren des MC abhangig ist. Fehlerhafte 
Zustande fuhren zu einem veranderten Testdatenausgangssi- 
gnal des MC. 

In den zweiten Mitteln der CU wird auch das Testdaten- 
eingangssignal zu einem Testdatenausgangssignal verarbei- 
tet, das als Referenzsignal fur die Uberpriifung des Testda- 
tenausgangssignals des MC dient. Bei der Berechnung des 
Testdatenausgangssignal geht die CU von einem fehlerfrei 
arbeitenden MC aus. Die durchgefuhrte Berechnung ist vor- 
zugsweise sehr einfach gestaltet. Es wird nicht wie bei Par- 
allelrechnersystemen der Mikrorechner doppelt ausgelegt 
und von der CU die gleiche Berechnung wie von dem MC 
ausgefuhrt. Vielmehr wird so vorgegangen, daB der MC aus- 
gehend von den Eingangsdaten einer vorgegebenen Priif- 
funktion die Ausgangsdaten berechnet, deren Ergebnisse 
von der CU mit dem von ihr berechneten Referenzsignal 
uberpriift werden. Die zur Berechnung der Ausgangsdaten 
verwendete Pruffunktion ist in der Regel sehr einfach gestal- 
tet, sic erfordert nur cine sehr geringe Rechenzeit. Es kon- 
nen aber auch komplexe Tests und Ergebnisse von den An- 
wendungsprogrammen in diese Pruffunktion mit einbezo- 
gen werden. 

SchlieBlich wird das Testdatenausgangssignal der CU mit 
dem Testdatenausgangssignal des MC verglichen. Weichen 
sie voneinander ab oder uberschreitet die Abweichung einen 
vorbestimmten Schwellenwert, erkennt die CU einen Fehler 
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des MC. Das Testergebnis kann mittels einer Anzeigevor- 
richlung zur Anzcigc gebracht werden und/oder cs kann 
vorgesehen sein, daB beim Auftreten eines Fehlers eine Ab- 
schaltung des durch das Steuergerat geregelten und/oder ge- 
steuerten Systems vorgesehen ist. 

GemaB einer vorteithaften Weiterbildung der Erfindung 
wird vorgeschlagen, daB die ersten Mittel eine IDDQ-MeB- 
schaltung, eine Spannungsversorgung, eine IDDQ-MeBab- 
laufsteuerung (MAS) und cine Steuerung der CU umfassen 
und daB die Verbindung zwischen den ersten Mitteln und 
dem MC zwei Handshake-Lei tungen, die von der IDDQ- 
MAS zu dem MC verlaufen, und mindestens eine Span- 
nungsversorgungsleitung, die von der Spannungsversor- 
gung zu dem MC verlaufen, umfaBt, wobei zumindcst eine 
der Spannungsversorgungsleitungen iiber die IDDQ-MeB- 
schaltung verlauft. Mit IDD wird bei Halbleitern der posi- 
tive Versorgungsstrom bezeichnet. IDDQ ist eine Bezeich- 
nung des Ruhestroms. Die Handshake-Leitungen sind bspw. 
als START- und als END- Handshake-Leitungen zum Einlei- 
ten bzw. zum Riickmelden des Abschlusses des Funktions- 
tests ausgebildet. 

Die Kommunikation zwischen dem MC und der CU zur 
Messung des Ruhestroms erfolgt iiber die zwei Handshake- 
Leitungen. 

Die Messung des Ruhestroms des MC durch die CU er- 
folgt iiber die separaten Spannungsversorgungsleitungen. 

Wie erwahnt, betrifft die Erfindung ein Steuergerat mit ei- 
ner Oberwachungseinheit zum Test des Mikrocomputers des 
Steuergerats. Zur Spannungsversorgung des Steuergerats 
und damit auch des Mikrocomputers ist eine Spannungsver- 
sorgungseinheit vorgesehen. Die Steuereinheit der CU ent- 
halt Mittel, die den MC in bestimmte Betriebszustande uber- 
fuhren konnen. Weiterhin sind in der IDDQ-MeBschaltung 
MeBmittel vorhanden, die den Strom oder die Spannung im 
Spannungsversorgungskreis des MC erfassen, woraufhin in 
Vergleichsmitteln, die ebenfalls in der IDDQ-MeBschaltung 
vorhanden sind, der erfaBte Strom oder die erfaBte Span- 
nung mit wenigstens einem vorgegebenen Schwellenwert 
verglichen wird. 

Mit der IDDQ-Messung konnen durch eine einfache 
Strom- bzw. Spannungsmessung eine Vielzahl von mogli- 
chen Fehlern im Rechner erfaBt werden. Dabei kann mit we- 
nigen Testschritten eine hohe Abdeckung der haufigsten 
Fehler in den Bauteilen eines MC erreicht werden. Solche 
Fehler konnen Haftfehler (Stuck-at), Briickenfehler (Brid- 
ging) und/oder Unterbrechungsfehler (Stuck-Open) sein. 

Die Kombination der Ruhestrommessung mit einem ge- 
eigneten anderen Uberprufungsverfahren, insbesondere mit 
einer Oberpriifung der Funktion des MC anhand von Testda- 
tensatzen, ergibt eine insbesondere fur sicherheitskritische 
Anwendungen vorteilhafte breite Fehlerabdeckung beziig- 
lich der wesentlichen Fehler bei Rechnerbausteinen, insbe- 
sondere bei CMOS-Pro zessoren. 

Die oben erwahnte Einsparung des zweiten Prozessors 
bleibt als wirtschaftlicher Vorteil bei dem erfindung sgema- 
Ben Steuergerat weitgchcnd erhalten, da die erfindungsge- 
maBe Ruhestrommessung nur wenig Hardware-Aufwand 
erfordert. 

Die IDDQ-MAS uberfuhrt vorgegebene Teile des MC 
durch eine spezielle Ansteuerung des MC in einen Zustand 
geringen Stroms. Der Hintergrund dieser Ansteuerung bc- 
steht darin, daB im MC meist Bau teile vorhanden sind, die 
einen relativ hohen Strom benotigen. Da, wie eingangs er- 
wahnt, die Ruhestrommessung im allgemeinen auf Schwan- 
kungen des Ruhesu-oms innerhalb relativ geringer Bandbrei- 
ten basiert, storen die Bauteile des MC mit hoher Stromauf- 
nahme die IDDQ-Messung. Insbesondere ist vorgesehen, 
daB solche Bauteile in den Zustand geringen Stromes uber- 



fuhrt werden, auf die sich die IDDQ-Messung nicht bezieht. 
Solche Bauteile konnen die MC-Endstufe und/oder eine 
Eingangsstufe (beispielsweise Analog/Digital- Wandler) so- 
wie Schaltungen zur intemen Taktvervielfachung sein. Im 

5 einfachsten Fall werden die Bauteile mit hoher Stromauf- 
nahme wahrend des Tests abgeschaltet. Es werden also in- 
terne Schaltungsteile und -ausgange, die hohe Strome fuh- 
ren, abgeschaltet. Danach kann die Messung des Ruhe- 
stroms vorgenommcn werden. 

10 t)ber die oben erwahnte Abschaltung der Bauteile des 
MC mit hohem Strom hinaus kann auch vorgesehen sein, 
daB der Kern des MC in einen Zustand geringer Stromauf- 
nahme zu uberfuhren ist. Bei solchen speziell fur die Ruhe- 
strommessung ausgelegten MC-Baustcinen ist cin spezicller 

15 Betriebszustand, ein sog. IDDQ-Testmode vorgesehen. In 
diesem Betriebszustand werden alle rechnerinternen Strome 
ausgeschaltet, d. h. der Strom im MC-Kem wird minimiert. 
Das IDDQ-Design ist derart, daB sich Standardfehler im 
MC-Kem in einer Erhohung des Ruhestroms bemerkbar 

20 machen. So auBem sich beispielsweise KurzschluB- bzw. 
Haftfehler (KurzschluB nach Masse oder Versorgungsspan- 
nung) sofort in einer Erhohung des Ruhestromes. Es ist hier- 
bei nicht notwendig, die Auswirkung eines solchen Fehlers 
bis auf die Ausgange des MC weiterzuleiten (zu propagie- 

25 ren). Die erhohte Stromaufnahme ist der sofortige Fehlerin- 
dikator. 

Neben dem oben beschriebenen IDDQ-Testmode kann 
vorgesehen sein, daB nur die Bauteile des MC mit hohem 
Strom abgeschaltet werden und der MC auf einen Befehl hin 

30 in einen definierten Zustand mit niedrigem Strom ubergehL 
Dabei braucht der MC-Kem nicht speziell fur den IDDQ- 
Testmode ausgelegt zu sein. Dies wird als Power-Down- 
Mode bezeichnet. 

Der Power-Down-Mode wird eingeleitet, indem rechner- 

35 interne Teile wie Register und Speicher mit bestimmten Mu- 
stern geladen werden und die oben erwahnten Rechnerbau- 
teile in den Zustand geringer Stromaufnahme uberfuhrt wer- 
den, bspw. durch Ausfuhrung eines bestimmten Rechnerbe- 
fehls. Ist dieser Zustand erreicht, so kann wahlweise ein 

40 Zeittaktgeber ausgeschaltet bzw. abgetrennt werden. An- 
schlieBend wird der Ruhestrom oder ein entsprechender 
Spannungswert gemessen und mit einem Schwellenwert 
verglichen, der dem oben eingestellten Betriebszustand 
(Power- Do wn-Zustand) des MC-Kerns entspricht. Sind im 

45 Rechner bestimmte Fehler vorhanden (Haftfehler, Briicken- 
fehler, Unterbrechungen), so fuhrt dies meist zu einer Erho- 
hung des Ruhestroms beziehungsweise des durch den Ruhe- 
strom verursachten Spannungsabfalls. 

Nach einem solchen Testschritt konnen weitere Test- 

50 schritte folgen, indem zunachst der Power-Down-Mode 
durch Anlegen von bestimmten Signalpegeln an bestimmte 
Anschltisse des MC verlassen wird. Durch ein erneutes Star- 
ten bzw. Zuschalten des Zeittaktgebers werden die rechner- 
internen Teile wie Register und Speicher mit weiteren Mu- 

55 stem geladen und es werden wiederum die oben erwahnten 
Bauteile in den Zustand geringen Stroms uberfuhrt, bspw. 
durch Ausfuhren eines bestimmten Rechnerbefehls (Power- 
Down-Befehl). Daran schlieBt sich wiederum die oben be- 
schriebene Messung des Ruhestromes an. Durch mehrere 

GO solcher hintereinander ausgefuhrter Messungen des Power- 
Down-Stroms gelangt man zu einer immer vollstandigeren 
Fehlererfassung von Registem, Speichem und Teilen des 
Rechnerkerns. 

Die einzelnen Testschritte werden je nach Rechnertyp 
65 und Ausfuhrung der Schaltung durch eine Wiederfreigabe 
des Zeittaktgebers, einer Reset- Auslosung oder einer Auslo- 
sung eines externen Interrupts beendet. Nach dem letzten 
Teslschritt wird der MC wieder in seinen nonnalen Betriebs- 



DE 199 02 031 A 1 

5 



modus betrieben (Normalbetrieb). 

Neben der oben beschricbcncn Ruhestrommessung im 
Power-Down-Mode ist auch erfindungsgemaB eine Mes- 
sung des Ruhestroms in dem erwahnten IDDQ-Testmode 
vorgesehen, sofern der zu testende Rechner dafur ausgelegt 
ist. Der Eintritt des IDDQ-Testmodes wird bspw. durch Ver- 
andem des Signalpegels an einem AnschluB des MC einge- 
leitet. Auch hierbei werden vor Eintritt in den IDDQ-Test- 
mode Register und Speicher mit bestimmten Mustern gcla- 
den. Mit Eintritt des EDDQ-Testmodes werden die Rechner- 
teile mit hoher Stromaufhahme abgeschaltet. Daruber hin- 
aus kann der Rechnerkem durch Anhalten bzw. Abkoppeln 
des Zeittaktes wahrend der Ausfuhrung eines Befehls in ei- 
nem fur diesen Befehl typischen Zustand gehalten werden. 
Diese Befehle sind derart ausgewahlt, daB sie die Zustande 
der intemen Schahungsknoten des Rechnerkerns so einstel- 
len, daB moglichst viele Fehler uber die Ruhestrommessung 
detektiert werden konnen. 

Der Handshake fiir die Ruhestrommessung erfolgt in 
mehreren Schritten: 

S 1 : Der MC setzt das START-Signal auf fflGH. Damit weiB 
die CU, daB eine IDDQ-Messung beginnt. 
S2: Wahlweise kann der MC das Anhalten des Zeittakts 
(Master Clock, MCLK) vorbereiten, indem er durch einen 
internen Befehl ein Signal PREP auf LOW setzt. 
S3: Der MC dekodiert den genau definierten Zeitpunkt in- 
nerhalb des nachsten geeigneten Befehls fur den IDDQ-Test 
und setzt ein Signal DEKOD ebenfalls auf LOW. Jetzt wird 
die MCLK gleich LOW und der Digitalteil des MC ist fur 
die IDDQ-Messung auf statischen Betrieb eingestellt. 
S4: Die CU fuhrt die IDDQ-Messung durch. 
S5: Die CU gibt die Pegelfolge LOW-HIGH-LOW am Si- 
gnal END aus und aktiviert damit wieder die MCLK. 
S6: Der MC wird wieder aktiv und bestatigt das Ende der 
Messung durch Setzen des START-Signals auf LOW. Der 
MC setzt das Programm fort und bereitet die nachste IDDQ- 
Messung vor oder beendet die IDDQ-Messungen, wenn alle 
Messungen durchgefuhrt sind. 

Vorzugsweise verlaufen zwischen der Spannungsversor- 
gung und dem MC zwei Spannungsversorgungsleitungen, 
wobei eine Spannungsversorgungsleitung iiber die IDDQ- 
MeBschaltung verlauft Uber die Spannungsversorgungslei- 
tung, die uber die EDDQ-MeBschaltung verlauft, wird der 
Ruhestrom des MC gemessen. 

GemaB einer anderen vorteilhaften Weiterbildung des er- 
findungsgemaBen Steuergerats wird vorgeschlagen, daB die 
ersten Mittel eine IDDQ-MeBschaltung, eine Spannungsver- 
sorgung, eine EDDQ-MeBablaufsteuerung (MAS) und eine 
Steuerung der CU umfassen und daB die Verbindung zwi- 
schen den ersten Mitteln und dem MC vier Handshake-Lei- 
tungen die von der IDDQ-MAS zu dem MC verlaufen, und 
mindestens eine Spannungsversorgungsleitung, die von der 
Spannungsversorgung zu dem MC verlaufen, umfaBt, wobei 
zumindest eine der Spannungsversorgungsleitungen uber 
die IDDQ-MeBschaltung verlauft. Bei vier Handshake-Lei- 
tungen konnen zusatzlich zu den Leitungen START, END 
bei zwei Handshake-Leitungen noch eine Zeittakt (CLK)- 
Leitung und eine Leitung fiir eine Power-Down (PWRDN)- 
Ansteuerung fur den MC vorgesehen werden. Bei dieser 
Ausfuhrungsform des Steuergerats genugt eine gemeinsame 
Spannungsversorgungsleitung zum Prozessor, in der der Ru- 
hestrom gemessen wird. Das Anhalten des Zeittaktgebers 
erfolgt dann in der CU. Die Ansteuerung von Spannungs- 
versorgungsschaltern fiir Analog- und IO-Schaltungen im 
MC erfolgt durch die PWRDN-Leitung aus der CU. Somit 
flieBt im MeBfall nur der RuhesUrom des Digitalteils des MC 
uber die gemeinsame Spannungsversorgungsleitung. 

Vorteilhafterweise weisen die ersten Mittel eine Initiali- 
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sierungsschaltung auf, die nach dem Einschalten des Steuer- 
gerats von der Spannungsversorgung ein Iniualisicrungssi- 
gnal erhalt und danach zur Freigabe der IDDQ-Messung ein 
Freigabe-Signal an die IDDQ-MAS sendet. Der erfolgreiche 
5 AbschluB der IDDQ-Messung wird durch ein weiteres Si- 
gnal an die Steuerung der CU signalisiert. Die CU schaltet 
daraufhin den Testablauf weiter, indem die Initialisierungs- 
schaltung iiber ein weiteres Signal den Testdatensignalgene- 
rator freigibt. 

10 GemaB einer vorteilhaften Ausfuhrungsform der vorlie- 
genden Erfindung weisen die zweiten Mittel einen Testda- 
tensignalgenerator zur Beaufschlagung des MC mit einem 
Testdateneingangssignal, einen Antwortgenerator zur Verar- 
beitung des Testdatcneingangssignals und zur Bildung eines 
entsprechenden Testdatenausgangssignals, ein Testdatenre- 
gister zum Senden und Empfangen der Testdaten und einen 
Vergleicher zum Vergleich des Testdatenausgangssignals 
des MC mit dem Testdatenausgangssignal der CU umfassen 
und daB die Verbindung zwischen den zweiten Mitteln und 
dem MC mindestens eine Testdateniibertragungsleitung um- 
fasst, die zwischen dem Testdatenregister und dem MC ver- 
laufen. Vorteilhafterweise verlaufen zwischen dem Testda- 
tenregister und dem MC zwei Testdatenubertragungsleitun- 
gen. 

Auch der Testdatensignalgenerator wird durch die Initia- 
lisierungsschaltung nach dem Einschalten des Steuergerats 
aktiviert. Im Testdatensignalgenerator werden die Testdaten 
fiir den MC in einer quasi-zufalligen Reihenfolge durch ein 
riickgekoppeltes Schieberegister generiert. Zu jedem Test- 
dateneingangssignal wird in dem Antwortgenerator mit 
Hilfe des Reed-Muller-Codes die Bitfolge fur das Testdaten- 
ausgangssignal (das sog. Referenzsignal) gebildet. Dieser 
Code wird angewendet, um einen groBtmoglichen Abstand 
im Zahlenraum der Testdatenausgangssignale (Hamming- 
Distanz) zu erhalten. Im Vergleicher wird dann das theore- 
tisch berechnete Testdatenausgangssignal aus dem Antwort- 
generator der CU mit dem tatsachlichen Testdatenausgangs- 
signal des MC aus dem Testdatenregister verglichen. 

Die zweiten Mittel weisen vorzugsweise einen Triggerge- 
nerator auf, der den Zeitpunkt ermittelt, zu dem das Testda- 
tenausgangssignal des MC bei fehlerfreiem MC an dem Ver- 
gleicher anliegt. Der Triggergenerator gibt den Zeitpunkt 
des Vergleichs des ermittelten Testdatenausgangssignals des 
MC mit der tatsachlichen Antwort des CU vor. Dadurch 
wird sichergestellt, daB die Zeitscheiben in dem MC richtig 
ablaufen. Der Vergleicher priift das Testdatenausgangssi- 
gnal nicht nur auf den richugen Datenwert hin, sondem 
auch, ob das Testdatenausgangssignal innerhalb eines be- 
stimmten Zeitfensters ubertragen wird. 

Vorteilhafterweise weisen die zweiten Mittel einen Feh- 
lerzahler auf, der hoch- oder runterzahlt, falls das Testdaten- 
ausgangssignal des MC nicht mit dem Testdatenausgangssi- 
gnal der CU ubereinstimmt und/oder falls das Testdatenaus- 
gangssignal des MC zu einem anderen als zu dem von dem 
Triggergenerator ermittelten Zeitpunkt an dem Vergleicher 
anliegt. Der Vergleicher bewirkt durch einen Zahlimpuls das 
Hoch- oder Runterzahlen des Fehlerzahlers. Sind Wert und 
Zeitpunkt des Testdatenausgangssignals richtig, wird der 
Fehlerzahler bspw. dekrementiert. 

Unterschreitet der Fehlerzahler einen vorgebbaren Wert, 
wird iiber ein Signalinterfacc bspw. eine exteme Warnlampe 
an- oder abgeschaltet und ein Relais zum Manipulieren der 
sicherheitskritischen Anwendung freigegeben. 

Die Manipulation der zu steuernden Anwendung wird 
sich in der Regel auf ein Abschalten der Anwendung be- 
schranken. Bei besonderen Anwendung kann es jedoch 
sinnvoll sein, daB der Fehlerzahler mehrere Ansprech- 
schwellen hat, deren Oberschreiten jeweils eine unter- 
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schiedliche Reaktion zur Folge hat. Dadurch kann ein sofor- 
liges Abschalten der Anwendung bei einer cininaligen Sto- 
rung verhindert und eine Uberprufung des Abschaltpfades 
durch den Rechner ermoglicht werden. 

Wird ein Testdateneingangssignal zum falschen Zeit- 5 
punkt oder mit einem falschen Wert durch den MC beant- 
wortet, wird der MC mit demselben Testdaleneingangssi- 
gnal nochmals beaufschlagt bis der Zeitpunkt und der Wert 
des Tcstdatenausgangssignals richtig sind. Tritt dies inner- 
halb einer vordefinierten Zeit nicht ein, schaltet die CU das io 
Steuergerat bzw. die Anwendung ab und kann auch durch 
richtige Antworten nicht mehr aktiviert werden. 

Die zweiten Mittel weisen vorzugsweise eine Initialisie- 
rungsschaltung auf, die nach dem Einschalten des Steuerge- 
rats von der Spannungsversorgung ein Initialisierungssignal 15 
erhalt, danach die CU mit dem MC synchronisiert und da- 
nach den Testdatensignalgenerator und den Fehlerzahler ak- 
tiviert. Die CU wird mit dem MC synchronisiert, indem die 
CU auf die ersten Datenubertragung des MC wartet. 

Eine weitere Aufgabe der vorliegenden Erfindung besteht 20 
darin, ein Verfahren zum Oberprufen eines Mikrocomputers 
der eingangs genannten Art dahingehend auszugestalten und 
weiterzubilden, daB die Zuverlassigkeit der Fehlerdetektion 
weiter verbessert und die Detektion auf zusatzliche Fehler- 
arten ausgeweitet wird. 25 

Zur Losung dieser Aufgabe schlagt die Erfindung ausge- 
hend von dem Verfahren der eingangs genannten Art vor, 
dass die CU des Steuergerats 

- eine Messung des Ruhestroms des MC durchfuhrt 30 
und 

- den MC mit einem Testdateneingangssignal beauf- 
schlagt 

- ein erstes Testdatenausgangssignal bestimmt und 

- ein zweites Testdatenausgangssignal des MC mit 35 
dem ersten Testdatenausgangssignal der CU vergleicht. 

Vorteilhafterweise ist die Ruhestrommessung als eine 
IDDQ-Messung ausgebildet. Vorzugsweise wird die IDDQ- 
Messung nach dem Einschalten des Steuergerates nach der 40 
Freigabe durch ein Freigabesignal durchgefuhrt 

GcmaB einer vorteilhaften Weiterbildung des erfindungs- 
gemaBen Verfahrens wird der Vergleich des zweiten Testda- 
tenausgangssignals des MC mit dem ersten Testdatenaus- 
gangssignal der CU wahrend des Betriebs des Steuergerats 45 
durchgefuhrt Das hat den Vorteil, daB das Steuergerat nicht 
abgeschaltet werden muB, um die Funktion des Mikrocom- 
puters uberpriifen zu konnen. Vielmehr konnen wahrend des 
Betriebs des Steuergerats nicht zur Steuerung der Anwen- 
dung genutzte Rechenkapazitaten des MC zur Uberprufung 50 
des MC genutzt werden. 

Vorzugsweise wird wahrend des Betriebs des Steuerge- 
rats in regelmaBigen Abstanden einmalig ein falsches Test- 
datenausgangssignal an die CU ausgegeben, um die Funk- 
tion des Abschaltpfades zu uberpriifen. 55 

Eine weitere vorteilhafte Ausgestaltung der Erfindung 
geht davon aus, daB wahrend der IDDQ-Messung und/oder 
wahrend des Vergleichs des zweiten Testdatenausgangssi- 
gnal des MC mit dem ersten Testdatenausgangssignal der 
CU ein Zeittaktgeber durch den MC angehalten wird. Der CO 
Zcittaktgcbcr ist in der Steuerung der CU vorgesehen. Ab- 
hangig von den Ausgangssignalen dieses Zeittaktgebers 
werden insbesondere die rechnerinternen Vorgange gesteu- 
ert. Bei dem beschriebenen IDDQ-Testmode ist vorgesehen, 
daB dieser Zeittaktgeber aus- oder abgeschaltet bzw. von 65 
dem MC abgetrennt wird. Dies kann auch beim Power- 
Down-Mode realisiert sein, wenn ein besonders niedriger 
Ruhestrom erzielt werden soli. Diese Aus- oder Abschal- 
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tung bzw. das Abtrennen des Zeittaktgebers geschieht insbe- 
sondere zu Beginn einer jeden Ruhestrommessung. 

Vorzugsweise wird das Testdateneingangssignal der CU 
von einem Testdatensignalgenerator durch ein riickgekop- 
peltes Schieberegister generiert Vorteilhafterweise wird das 
Testdatenausgangssignal der CU von einem Antwortgenera- 
tor mit Hilfe des Reed-Muller-Codes generiert. 

Das erflndungsgemaBe Steuergerat kann mittels zweier 
unterschiedlicher Testablaufe uberpriift werden. Ein sog. 
Startup-Test wird unmittelbar nach dem Einschalten des 
Steuergerats und vor dem Betrieb des Steuergerats zur 
Steuerung oder Regelung der sicherheitskrilischen Anwen- 
dung durchgefuhrt. Ein sog. Online-Test wird nach dem 
Startup-Test wahrend des Betriebs des Steuergerats von Zeit 
zu Zeit durchgefuhrt. 

Der Startup-Test ist in zwei Testabschnitte unterteilt, den 
sog. Prozessorinitialisierungs-Abschnitt (Proz-Init) und den 
anschlieBenden sog. Betriebssysteminitialisierungs-Ab- 
schnitt (BS-Init). Der Proz-Init-Abschnitt umfaBt einen Be- 
fehls- und Core-Test, einen RAM/ROM-Test und einen 
IDDQ-Test. Der BS-Init-Abschnitt umfaBt eine Startup-Re- 
gelung und einen Test der CU. Bei der Startup-Regelung 
werden dem Steuergerat verschiedene Eingangswerte vor- 
gespielt (bspw. ein bestimmter Drehzahlverlauf der Rader 
eines Fahrzeugs, wie er typischerweise am Eingang eines 
ABS-Steuerungsgerats des Fahrzeugs auftreten kann). Das 
Steuergerat fuhrt aufgrund der Eingangswerte eine Rege- 
lung bzw. Steuerung der Anwendung durch. Das Ergebnis 
dieser simulierten Regelung bzw. Steuerung wird mit ent- 
sprechenden Sollwerten verglichen. Bei dem Test der CU 
wird ein defekter MC simuliert und die Reaktion der CU auf 
den Defekt uberpriift. 

Der Online-Test weist einen Befehls- und Core-Test, ei- 
nen RAM/ROM-Test, einen Test der CU, und einen Replica- 
tions-Test auf. Bei dem Replications-Test werden fur be- 
stimmte sicherheitskritische Variable doppelte Speicher- 
platze vorgesehen und bestimmte sicherheitskritische Bc- 
rechnungen doppelt ausgefuhrt Die Inhalte der doppelten 
Speicherplatze und die Ergebnisse der doppelten Berech- 
nungen werden miteinander verglichen. Die redundante 
Speicherung und die redundante Berechnung erfolgt durch 
den einen Prozessor des Steuergerats. Der Online-Test weist 
dariiber hinaus eine Plausibilitatsuberwachung auf, bei der 
die von dem MC ermittelten Steuerungs- bzw. Regelungssi- 
gnale auf Plausibilitat uberpriift werden. Bei einem ABS- 
Steuergerat kann bspw, uberpriift werden, ob die Geschwin- 
digkeit, die Beschleunigung oder die Verzogerung innerhalb 
bestimmter Grenzen liegt. AuBerdem miissen die Werte der 
einzelnen Rader des Fahrzeugs in einer bestimmten Relation 
zueinander stehen, was ebenfalls uberpriift werden kann. 
Der Online-Test weist schlieBlich noch einen Betriebssy- 
stem-Test und einen Test der ubrigen Oberwachungseinhei- 
ten des Steuergerats auf. 

Ein bevorzugtes Ausfuhrungsbeispiel der vorliegenden 
Erfindung wirdim folgenden anhandderZeichnungen naher 
erlautert. Es zeigen: 

Fig. 1 ein schematisches Ubersichtsblockschaltbild eines 
erfindungsgemaBen Steuergerats; 

Fig. 2 ein detailliertes tjbersichtsblockschaltbild des 
Steuergerats aus Fig. 1 ; 

Fig. 3 eine Schaltungsanordnung fur eine Ruhestrommes- 
sung mit Zweidraht-Handshake; und 

Fig. 4 Zeitdiagramm der MeBablaufsteuerung fur die Ru- 
hestrommessung aus Fig. 3. 

In Fig. 1 ist ein schematisches Ubersichtsblockschaltbild 
eines erfindungsgemaBen Steuergerats dargestellt. Das er- 
flndungsgemaBe Steuergerat ist in seiner Gesamtheit mit 
dem Bezugszeichen 1 gekennzeichnet. Das Sleuergeral 1 
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dient zur Steuerung sicherheitskritischer Anwendungen, 
bspw. fur Antiblockiersystcmc, fur Antricbsschlupfregclsy- 
steme und/oder fur Fahrdynarnikregelsysteme. Das Steuer- 
gerat 1 weist einen Mikrocomputer MC, eine Oberwa- 
chungseinheit (CU, Check Unit) und Peripherieschaltungen 5 
(10, Input/Output). Der Mikrocomputer MC, die Oberwa- 
chungseinheit CU und die Peripherieschaltungen 10 sind 
uber einen seriellen synchronen Datenbus 2 in Serie ge- 
schaltet. Der Mikrocomputer MC sendct iiber seine Datcn- 
ausgabeleitung MC_Dout die Datenausgangssignale iiber to 
den Datenbus 2 an die Busteilnehmer und empfangt gleich- 
zeiu'g die Dateneingangssignale iiber seine Dateneingabelei- 
tung MC_Din. Mit dem Signal SAM (Sample) speichem die 
Busteilnehmer die in ihren Speicherregi stern angekomme- 
nenDatenab. 15 

Zwischen dem Mikrocomputer MC und der Oberwa- 
chungseinheit CU bestehen weitere Verbindungsleitungen, 
namlich eine gemeinsame Versorgungsleitung VDD oder 
wahlweise mehrere Versorgungsleitungen VDD fiir eine di- 
gitale und analoge Versorgung des Mikrocomputers MC. 20 
SchlieBlich verlaufen zwischen dem Mikrocomputer MC 
und der Oberwachungseinheit CU IDDQ-Handshake-Lei- 
tungen IDDQ-HDSHK, die zur Steuerung der Ruhestrom- 
messung (EDDQ-Messung) des Mikrocomputers MC die- 
nen. Aus der Oberwachungseinheit CU fuhren sogenannte 25 
Abschaltpfade 3 zu extemen Warnlampen und/oder Relais 
zum Manipulieren der zu steuernden sicherheitskritischen 
Anwendungcn, je nachdem, ob die Oberwachungseinheit 
CU einen Fehler des Mikrocomputers MC detekuert oder 
nicht. Die Peripherieschaltungen 10 weisen Verbindungslei- 30 
tungen 4 zu der zu steuernden sicherheitskritischen Anwen- 
dung 5 auf. 

Nach dem Einschalten des Steuergerats 1 wird zur Funk- 
tionsuberprufung des Mikrocomputers MC eine Ruhestrom- 
messung durchgefuhrt. Wahrend des Betriebs des Steuerge- 35 
rats 1 wird die Funktion des Mikrocomputers MC uberpruft, 
indem er regelmaBig mit Testdatensatzen beaufschlagt wird 
und das entsprechende zweite Testdatenausgangssignal des 
MC mit einem von der Uberwachungseinheit CU berechne- 
ten fehlerfreien ersten Testdatenausgangssignal verglichen 40 
wird. 

In Fig. 2 ist ein detailliertes Obersichtsblockschaltbild 
des Steuergerats 1 aus Fig. 1 dargestellt. Die Uberwa- 
chungseinheit CU umfasst eine Steuerung 6 der Uberwa- 
chungseinheit CU, eine Messablaufsteuerung 7 fur die 45 
IDDQ-Messung, eine IDDQ-Messchaltung 8 und eine 
Spannungsversorgung 9. 

Die Steuerung 6 der Uberwachungseinheit CU umfasst 
einen Testdatensignalgenerator 10, einen Antwortgenerator 
11 und einen Vergleicher 12. Mit Hilfe des Testdatensignal- 50 
generators 10 wird der Mikrocomputer MC mit einem Tcst- 
dateneingangssignal beaufschlagt und ermittelt in Abhan- 
gigkeit von dem Testdateneingangssignal und von seinen in- 
ternen Zustanden ein zweites Testdatenausgangssignal. Der 
Antwortgenerator 11 verarbeitet dasselbe Testdatenein- 55 
gangssignal und bildet ein entsprcchendes erstes Testdaten- 
ausgangssignal. In dem Vergleicher 12 wird das erste Test- 
datenausgangssignal der Uberwachungseinheit CU mit dem 
zweiten Testdatenausgangssignal des Mikrocomputers MC 
verglichen. Ein Triggergenerator 13 ermittelt den Zeitpunkt, 60 
zu dem das zweite Testdatenausgangssignal des Mikrocom- 
puters MC bei fehlerfrei arbeitendem Mikrocomputer MC 
an dem Vergleicher 12 anliegt. 

Die Steuerung 6 der Uberwachungseinheit CU weist dar- 
uber hinaus einen Fehlerzahler 14 auf, der einen Fehler 65 
zahlt, falls das zweite Testdatenausgangssignal des Mikro- 
computers MC nicht mit dem ersten Testdatenausgangssi- 
gnal der Oberwachungseinheit CU ubereinstimmt und/oder 
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falls das zweite Testdatenausgangssignal des Mikrocompu- 
ters MC zu einem anderen als zu dem von dem Triggergene- 
rator 13 ermittelten Zeitpunkt an dem Vergleicher 12 an- 
liegt. 

Des weiteren weist die Steuerung 6 der Oberwachungs- 
einheit CU ein Testdatenregister 17 auf, das zum Senden 
und Empfangen der Testdaten dient. 

Die Steuerung 6 der Uberwachungseinheit CU weist 
schlicBlich auch cine Initialisierungsschaltung 15 auf, die 
nach dem Einschalten des Steuergerats 1 von der Span- 
nungsversorgung 9 ein Initialisierungssignal RST erhalt, 
und danach die Oberwachungseinheit CU mit dem Mikro- 
computer MC synchronisiert, indem sie auf die erste Daten- 
ubcrtragung des MC wartet. Danach aktiviert die Initialisie- 
rungsschaltung 15 den Testdatensignalgenerator 10 und den 
Fehlerzahler 14. 

In dem Testdatensignalgenerator 10 werden die Testda- 
teneingangssignale fur den Mikrocomputer MC in einer 
quasi-zufalligen Reihenfolge durch ein riickgekoppeltes 
Schieberegister generiert. Zu jedem Testdateneingangssi- 
gnal wird in dem Antwortgenerator 11 mit Hilfe des "Reed- 
Muller-Codes" die Bit-Folge fur das entsprechende erste 
Testdatenausgangssignal gebildet. Dieser Code wird ange- 
wendet, um einen groBtmoglichen Abstand im Zahlenraum 
der Testdatenausgangssignale (Hamming-Distanz) zu erhal- 
ten. In dem Vergleicher 12 wird dann das in dem Antwortge- 
nerator 11 ermittelte erste Testdatenausgangssignal mit dem 
tatsachlichen zweiten Testdatenausgangssignal des Mikro- 
computers MC verglichen. 

Der Zeitpunkt des Vergleichs wird durch den Triggerge- 
nerator 13 vorgegeben. Dies stellt sicher, dass die Zeitschei- 
ben in dem Mikrocomputer MC richtig ablaufen. Der Ver- 
gleicher 12 pruft das zweite Testdatenausgangssignal des 
MC nicht nur auf den richtigen Datenwert hin, sondem 
auch, ob das Testdatenausgangssignal innerhalb eines be- 
stimmten Zeitfensters ubertragen wird. Sind Wert und Zeit- 
punkt des zweiten Testdatenausgangssignals des MC rich- 
tig, wird der Fehlerzahler 14 dekrementiert und iiber ein Si- 
gnal-Interface 16 die zu steuernde sicherheitskritische An- 
wendung im aktiven Zustand gehalten, indem exteme Warn- 
lampen ausgeschaltet und Relais zum Ansteuern der An- 
wendung 5 aktiviert werden. 

In jedem auf diesen ersten Zyklus folgenden Zyklus muss 
der Zeitpunkt und der Wert des zweiten Testdatenausgangs- 
signals des MC richtig sein, um ein sofortiges Ansprechen 
des Fehlerzahlers 14 zu verhindem. Der Fehlerzahler 14 hat 
mehrere Ansprechschwellen, um ein Abschalten des Steuer- 
gerats 1 bzw. der Anwendung 5 bei einer einmaligen Sto- 
ning zu verhindem und um eine Priifung des Abschaltpfades 
durch den Mikrocomputer MC zu ermoglichen. Die erste 
Stufe spent die Ventilendstufen durch das Signal EN und 
schaltet die Spannungsversorgung der Ventile uber das Ven- 
tilrelais VRA aus. Die Anzeige der Warnlampen SILA wird 
um einen Zyklus verzogert, damit beim Testen des Ab- 
schaltpfades keine Anzeige erfolgt. 

Wird ein Testdateneingangssignal zum falschen Zeit- 
punkt oder mit einem falschen Wert beantwortet, wird der 
Mikrocomputer MC mit demselben Testdateneingangssi- 
gnal nochmals beaufschlagt, bis der Zeitpunkt und der Wert 
richtig sind. Tritt dies innerhalb einer vordefinierten Zeit 
nicht ein, schaltet die Oberwachungseinheit CU das Steuer- 
gerat 1 ab und kann auch durch richtige Antworten nicht 
mehr aktiviert werden. 

Die Ruhestrommessung wird nach dem Einschalten des 
Steuergerats 1 fur eine feste Anzahl (typischerweise 8 bis 
16) von Zeitpunkten eines Testprogramms durchgefuhrt. 
Die Kommunikation zwischen Mikrocomputer MC und 
Oberwachungseinheit CU zur Ruhestrommessung erfolgt 
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uber die zwei Handshake-Leitungen START und END. 
Wahrcnd dcr Ruhcstrommcssung halt dcr Microcomputer 
MC den Zeittaktgeber CLK an. Zwischen der Uberwa- 
chungseinheit CU und dem Mikrocomputer MC sind zwei 
separate Spannungsversorgungsleitungen, VDD_digitaI zur 5 
Versorgung des Digitalteils des Mikrocomputers MC und 
VDD_analog zur Versorgung des Analogteils des Mikro- 
computers MC. Der Ruhestrom wird in der Spannungsver- 
sorgungsleitung VDD_digital gemessen. 

Die Freigabe der Ruhestrommessung erfolgt nach dem 10 
Einschalten der Versorgungsspannung durch das Signal 
IDDQ_EN der Steuerung 6 der ttberwachungseinheit CU. 
Der erfolgreiche Abschluss der Ruhestrommessung wird 
durch das Signal IDDQ_FIN an die Steuerung 6 der tJber- 
wachungseinheit CU signalisiert. Die Uberwachungseinheit 15 
CU schaltet dann den Testablauf weiter, indem die Initiali- 
sierungsschaltung 15 uber ein Signal IDDQ_OK den Test- 
datensignalgenerator 10 freigibt. 

In Fig. 3 ist eine Schaltungsanordnung fur die Ruhe- 
strommessung mit einem Zweidraht-Handshake dargestellt, 20 
In Fig, 4 ist das Zeitdiagramm der Messablaufsteuerung 7 
fur die Ruhestrommessung aus Fig. 3 dargestellt Nach dem 
Einschalten des Steuergerats 1 startet der Mikrocomputer 
MC seinen Selbsttest. Ein Teil dieses Selbsttests ist die Ru- 
hestrommessung. Erreicht der Ablauf im Mikrocomputer 25 
MC den Ruhestromtest, wird das Signal START aktiviert. 
Zum Zeitpunkt Tl wird die Ruhestrommessung durch das 
Signal M_Act aktiviert. Der Ausgang des Vergleichers 12 
fur die Ruhestrommessung wird nach der Zeit T2 ausgewer- 
tet. Ist der Wert in Ordnung, wird der Mikrocomputer MC 30 
durch das END-Signal wieder aktiviert. Liegt der Wert au- 
Berhalb eines Grenzwertes, wird die Messung wiederholL 
Die Anzahl der Wiederholungen ist vorgegeben. Fuhrt auch 
die Wiederholung der Messung zu keiner richtigen Antwort, 
wird die Messung abgebrochen und die Oberwachungsein- 35 
heit CU schaltet den Mikrocomputer MC nicht mehr ein, 
sondern bleibt in einem Fail-safe-Modus. Wenn alle Ruhe- 
strommessungen abgeschlossen sind, wird das Signal 
IDDQ_FIN auf HIGH gesetzt Die Steuerung 6 der Uberwa- 
chungseinheit CU nimmt daraufhin das Signal IDDQ_EN 40 
von HIGH auf LOW zuriick. 

Patentanspruche 

1. Steuergerat (1) zur Steuerung sicherheitskritischer 45 
Anwendungen (5) mit einem Mikrocomputer (MC), ei- 
ner Oberwachungseinheit (Check Unit, CU) und Peri- 
pherieschaltungen (Input Output, IO), dadurch ge- 
kennzeichnet, daB die Oberwachungseinheit (CU) er- 
ste Mittel zur Messung des Ruhestroms des Mikrocom- 50 
puters (MC) aufweist und zwischen den ersten Mitteln 
der CU und dem MC mindestens eine Runes trom- 
Handshake-Leitung (IDDQ-HDSHK) zur Steuerung 
der Messung des Ruhestroms verlauft, und daB die CU 
zweite Mittel zur Beaufschlagung des MC mit einem 55 
Testdateneingangssignal, zur Verarbeitung des Testda- 
teneingangssignals und zum Vergleich des entspre- 
chenden Testdatenausgangssignals des MC mit dem 
entsprechenden Testdatenausgangssignal der CU auf- 
weist und zwischen den zweiten Mitteln der CU und GO 
dem MC mindestens eine Testdatcnsignal-ttbertra- 
gungsleitung verlauft. 

2. Steuergerat (1) nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die ersten Mittel eine IDDQ-MeBschal- 
tung (8), eine Spannungsversorgung (9), eine EDDQ- 65 
MeBablaufsteuerung (MAS) (7) und eine Steuerung (6) 
der CU umfassen und daB die Verbindung zwischen 
den ersten Mitteln und dem MC zwei Handshake-Lei- 



tungen (START, END), die von der IDDQ-MAS zu 
dem MC vcrlaufcn, und mindestens cine Spannungs- 
versorgungsleitung ( VDD), die von der Spannungsver- 
sorgung (9) zu dem MC verlaufen, umfaBt, wobei zu- 
mindest eine der Spannungsversorgungsleitungen 
(VDD) uber die IDDQ-MeBschaltung (8) verlauft. 

3. Steuergerat (1) nach Anspruch 2, dadurch gekenn- 
zeichnet, daB zwischen der Spannungsversorgung (9) 
und dem MC zwei Spannungsversorgungsleitungen 
(VDD_analog, VDD_digital) verlaufen, wobei eine 
Spannungsversorgungsleitung (VDD_digital) uber die 
IDDQ-MeBschaltung (8) verlauft. 

4. Steuergerat (1) nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die ersten Mittel eine IDDQ-MeBschal- 
tung (8), eine Spannungsversorgung (9), eine IDDQ- 
MeBablaufsteuerung (MAS) (7) und eine Steuerung (6) 
der CU umfassen und daB die Verbindung zwischen 
den ersten Mitteln und dem MC vier Handshake-Lei- 
tungen (START, END, CLK, PWR_DN), die von der 
IDDQ-MAS (7) zu dem MC verlaufen, und mindestens 
eine Spannungsversorgungsleitung (VDD), die von der 
Spannungsversorgung (9) zu dem MC verlaufen, um- 
faBt, wobei zumindesteinc der Spannungsversorgungs- 
leitungen (VDD) uber die IDDQ-MeBschaltung (8) 
verlauft. 

5. Steuergerat (1) nach einem der Anspruche 2 bis 4, 
dadurch gekennzeichnet, daB die ersten Mittel eine In- 
itialisierungsschaltung (15) aufweisen, die nach dem 
Einschalten des Steuergerats (1) von der Spannungs- 
versorgung (9) ein Initialisierungssignal (RST) erhalt 
und danach zur Freigabe der IDDQ-Messung ein Frei- 
gabe-Signal (IDDQ_EN) an die IDDQ-MAS (7) sen- 
det. 

6. Steuergerat (1) nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, daB die zweiten Mittel einen 
Testdatensignalgenerator (10) zur Beaufschlagung des 
MC mit einem Testdateneingangssignal, einen Ant- 
wortgenerator (11) zur Verarbeitung des Testdatenein- 
gangssignals und zur Bildung eines entsprechenden 
Testdatenausgangssignals, ein Testdatenregister (17) 
zum Senden und Empfangen der Testdaten und einen 
Vergleicher (12) zum Vergleich des Testdatenaus- 
gangssignals des MC mit dem Testdatenausgangssi- 
gnal der CU umfassen und daB die Verbindung zwi- 
schen den zweiten Mitteln und dem MC mindestens 
eine Testdatenubertragungsleitung umfasst, die zwi- 
schen dem Testdatenregister (17) und dem MC ver- 
lauft. 

7. Steuergerat (1) nach Anspruch 6, dadurch gekenn- 
zeichnet, daB die Verbindung zwischen den zweiten 
Mitteln und dem MC zwei Testdatcnubertragungslei- 
tungen (CU_Dout, CU_Din) umfasst. 

8. Steuergerat (1) nach Anspruch 6 oder 7, dadurch ge- 
kennzeichnet, daB die zweiten Mittel einen Triggerge- 
nerator (13) aufweisen, der den Zeitpunkt errnittelt, zu 
dem das Testdatenausgangssignal des MC bei fehlcr- 
freiem MC an dem Vergleicher (12) anliegt. 

9. Steuergerat (1) nach einem der Anspruche 6 bis 8, 
dadurch gekennzeichnet, daB die zweiten Mittel einen 
Fehlerzahler (14) aufweisen, der einen Fehler zahlt, 
falls das Testdatenausgangssignal des MC nicht mit 
dem Testdatenausgangssignal der CU ubereinstimmt 
und/oder falls das Testdatenausgangssignal des MC zu 
einem anderen als zu dem von dem Triggergenerator 
(13) ermittelten Zeitpunkt an dem Vergleicher (12) an- 
liegt. 

10. Steuergerat (1) nach Anspruch 9, dadurch gekenn- 
zeichnet, daB der Fehlerzahler (14) mehrere Ansprech- 
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schweilen hat, deren tiberschreiten jeweils eine unter- 
schicdlichc Reaklioncn zur Folgc hat. 

1 1 . Steuergerat (1) nach einem der Anspriiche 6 bis 10, 
dadurch gekennzeichnet, daB die zweiten Mittel eine 
Initialisierungsschaltung (15) aufweisen, die nach dem 5 
Einschalten des Steuergerats (1) von der Spannungs- 
versorgung (9) ein Iniliaiisierungssignal (RST) erhalt, 
danach die CU mit dem MC synchronisiert und danach 
den Testdatcnsignalgenerator (10) und den Fchlcrzah- 
ler (14) aktiviert. io 

12. Verfahren zum Uberprufen eines Mikrocomputers 
(MC) eines Steuergerats (1) zur Steuerung sicherheits- 
kritischer Anwendungen, das den Mikrocomputer 
(MC), cine tjberwachungseinheit (Check Unit, CU) 
und Peripherieschaltungen (Input Output, IO) aufweist, 15 
gekennzeichnet durch 

- eine Messung des Ruhestroms des MC und 

- eine Beaufschlagung des MC mit einem Testda- 
teneingangssignal, 

- ein Bestimmen eines ersten Testdatenausgangs- 20 
signals und 

- einen Vergleich eines zweiten Testdatenaus- 
gangssignals des MC mit dem ersten Testdaten- 
ausgangssignal der CU. 

13. Verfahren nach Anspruch 12, dadurch gekenn- 25 
zeichnet, daB die Ruhestrommessung als eine IDDQ- 
Messung ausgebildet ist. 

14. Verfahren nach Anspruch 13, dadurch gekenn- 
zeichnet, daB die IDDQ-Messung nach dem Einschal- 
ten des Steuergerates (1) nach der Freigabe durch ein 30 
Freigabesignal (TDDQ_EN) durchgefuhrt wird. 

15. Verfahren nach Anspruch 13 oder 14, dadurch ge- 
kennzeichnet, daB der Vergleich des zweiten Testdaten- 
ausgangssignals des MC mit dem ersten Testdatenaus- 
gangs signal der CU wahrend des Betriebs des Steuer- 35 
gerats (1) durchgefuhrt wird. 

16. Verfahren nach einem der Anspriiche 13 bis 15, 
dadurch gekennzeichnet, daB wahrend der IDDQ-Mes- 
sung und/oder wahrend des Vergleichs des zweiten 
Testdatenausgangssignals des MC mit dem ersten Test- 40 
datenausgangssignal der CU ein Zeittaktgeber (Clock, 
CLK) durch den MC angehalten wird. 

17. Verfahren nach einem der Anspriiche 13 bis 16, 
dadurch gekennzeichnet, daB das Testdateneingangssi- 
gnal der CU von einem Testdatensignalgenerator (10) 45 
durch ein riickgekoppeltes Schieberegister generiert 
wird. 

18. Verfahren nach Anspruch 17, dadurch gekenn- 
zeichnet, daB das Testdatenausgangssignal der CU von 
einem Antwortgenerator (11) mit Hilfe des Reed-Mul- 50 
ler-Codes generiert wird. 
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